Για δεύτερη φορά μέσα σε λίγες εβδομάδες, η Google εξέδωσε ανακοίνωση διαψεύδοντας δημόσια ότι μια «παραβίαση ασφαλείας» έχει επηρεάσει εκατομμύρια χρήστες του Gmail. Σύμφωνα με την εταιρεία, οι αναφορές αυτές είναι ψευδείς: «Οι άμυνες του Gmail είναι ισχυρές και οι χρήστες παραμένουν προστατευμένοι».
Τον Σεπτέμβριο, η Google είχε δηλώσει ότι πολλές αναφορές «λανθασμένα υποστήριξαν πως εκδώσαμε μια γενική προειδοποίηση προς όλους τους χρήστες του Gmail για ένα σοβαρό ζήτημα ασφαλείας. Αυτό είναι εντελώς ψευδές». Εκείνη την περίοδο, η δημόσια διόρθωση της εταιρείας απέναντι στις εκτεταμένες φήμες θεωρήθηκε πρωτοφανής. Πλέον, φαίνεται ότι τέτοιες διευκρινίσεις ίσως γίνουν πιο συχνές.
Infostealer
Οι πιο πρόσφατες αναφορές προέρχονται από τη δημοσιοποίηση στοιχείων μιας μεγάλης κλοπής δεδομένων (infostealer) που περιλαμβάνει εκατομμύρια κωδικούς πρόσβασης – κάποιοι από τους οποίους, αναπόφευκτα, είναι διαπιστευτήρια χρηστών Gmail. Το ειρωνικό είναι ότι αυτό δε θα έπρεπε να αποτελεί είδηση.
Αν οι χρήστες του Gmail είχαν υιοθετήσει passkeys και επαλήθευση δύο βημάτων (2SV), όπως συνιστά η Google, τότε τέτοιες συλλογές κλεμμένων δεδομένων θα ήταν άχρηστες και οι λογαριασμοί θα παρέμεναν ασφαλείς.
Η Google ανησυχεί ότι αυτού του είδους οι αναφορές προκαλούν αδικαιολόγητο πανικό στους χρήστες της. Ωστόσο, αναγνωρίζει ότι υπάρχει και ένα θετικό στοιχείο: η αυξημένη ευαισθητοποίηση σχετικά με την ανάγκη ενίσχυσης της ασφάλειας των λογαριασμών, μέσω πρόσθετων μεθόδων επαλήθευσης και, ιδανικά, μέσω passkeys.
Η εταιρεία επανέλαβε αυτή τη σύσταση και στην τελευταία της ανακοίνωση, σημειώνοντας:
«Οι χρήστες μπορούν να προστατευθούν από την κλοπή διαπιστευτηρίων ενεργοποιώντας την επαλήθευση δύο βημάτων (2SV) και υιοθετώντας τα passkeys ως μια ισχυρότερη και ασφαλέστερη εναλλακτική λύση αντί των κωδικών πρόσβασης».
Αλλάξτε κωδικούς
Η Google συνιστά επίσης στους χρήστες να αλλάζουν τους κωδικούς πρόσβασής τους όταν εντοπίζονται σε μεγάλες διαρροές δεδομένων. Αν και αυτή είναι μια σωστή πρακτική, στην πραγματικότητα θα έπρεπε να είναι περιττή: όταν υπάρχει ενεργοποιημένη 2SV και passkey, ένας κλεμμένος ή διαρρεύσας κωδικός δεν μπορεί να χρησιμοποιηθεί για πρόσβαση στον λογαριασμό. Όπως τόνισε η εταιρεία, «πρέπει πάντα να θεωρείτε ότι οι κωδικοί σας έχουν διαρρεύσει».
Παρά τη δημοσιότητα, οι περισσότεροι κάτοχοι λογαριασμών Google -συμπεριλαμβανομένου του Gmail- δεν έχουν ακόμα προσθέσει passkeys στους λογαριασμούς τους. Πλησιάζουμε σε μια εποχή όπου τέτοιες μέθοδοι ασφάλειας θα γίνουν υποχρεωτικές και η πρόσβαση με διαρρεύσαντα διαπιστευτήρια δεν θα είναι πλέον δυνατή. Μέχρι τότε, είναι πιθανό να συνεχίσουμε να βλέπουμε ανάλογες ειδήσεις.
Η Microsoft επιβεβαίωσε ξανά αυτόν τον μήνα ότι η χρήση της 2SV μειώνει τον κίνδυνο παραβίασης λογαριασμού κατά περισσότερο από 99%. Το ποσοστό αυτό παραμένει αμετάβλητο από το 2019, γεγονός που δείχνει ότι χρειάζεται πλέον μια διαφορετική προσέγγιση για να αλλάξουν οι συνήθειες των χρηστών γύρω από τους κωδικούς πρόσβασης.
